Freigeben über


Einrichten der mehrstufigen Authentifizierung für Microsoft 365

Sehen Sie sich alle unsere Inhalte für Kleinunternehmen unter Kleine Unternehmen – Hilfe und Lernen an.

Sehen Sie sich die Hilfe zu Microsoft 365 Small Business auf YouTube an.

Die mehrstufige Authentifizierung (auch als MFA, zweistufige Authentifizierung oder 2FA bezeichnet) erfordert eine zweite Überprüfungsmethode für Benutzeranmeldungen und verbessert die Kontosicherheit.

Dieser Artikel enthält Anweisungen zum Einrichten der MFA mithilfe der verfügbaren Optionen:

Informationen zu den verschiedenen Optionen für MFA in Microsoft 365 finden Sie unter Mehrstufige Authentifizierung in Microsoft 365.

Was sollten Sie wissen, bevor Sie beginnen?

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Entra Berechtigungen:

      • Aktivieren oder deaktivieren Sie Sicherheitsstandards: Mitgliedschaft in der Rolle "Globaler Administrator* " oder "Sicherheitsadministrator ".
      • Erstellen und Verwalten von Richtlinien für bedingten Zugriff: Mitgliedschaft in der Rolle "Globaler Administrator* " oder "Administrator für bedingten Zugriff ".

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

  • Um Sicherheitsstandards oder bedingten Zugriff zu verwenden, müssen Sie die ältere benutzerspezifische MFA für Benutzer in Ihrem organization deaktivieren. Es ist wahrscheinlich nicht für Benutzer in Organisationen aktiviert, die nach 2019 erstellt wurden. Anweisungen finden Sie unter Aktivieren der mehrstufigen Authentifizierung pro Benutzer Microsoft Entra zum Schützen von Anmeldeereignissen.

  • Erweitert: Wenn Sie Nicht-Microsoft-Verzeichnisdienste mit Active Directory-Verbunddienste (AD FS) (AD FS) (konfiguriert vor Juli 2019) haben, richten Sie den Azure MFA-Server ein. Weitere Informationen finden Sie unter Erweiterte Szenarien mit Microsoft Entra mehrstufigen Authentifizierungs- und Nicht-Microsoft-VPN-Lösungen.

Verwalten von Sicherheitsstandards

Microsoft 365-Organisationen, die nach Oktober 2019 erstellt wurden, haben standardmäßig Sicherheitsstandardeinstellungen aktiviert. Führen Sie die folgenden Schritte aus, um die aktuelle status der Sicherheitsstandards in Ihrem organization anzuzeigen oder zu ändern:

  1. Wechseln Sie im Microsoft Entra Admin Center unter https://entra.microsoft.comzu Identitätsübersicht>. Oder verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView, um direkt zur Übersichtsseite zu wechseln.

  2. Wählen Sie auf der Übersichtsseite die Registerkarte Eigenschaften aus, und wechseln Sie zum Abschnitt Sicherheitsstandards am unteren Rand der Registerkarte.

    Abhängig von der aktuellen status von Sicherheitsstandards ist eine der folgenden Funktionen verfügbar:

    • Sicherheitsstandards sind aktiviert: Der folgende Text wird angezeigt, und Sicherheitsstandardeinstellungen verwalten ist verfügbar:

      Ihre organization ist durch Sicherheitsstandards geschützt.

    • Mindestens eine Richtlinie für bedingten Zugriff ist in Microsoft Entra ID P1 oder P2 vorhanden: Der folgende Text wird angezeigt, und Sicherheitsstandardeinstellungen verwalten ist nicht verfügbar:

      Ihr organization verwendet derzeit Richtlinien für bedingten Zugriff, die sie daran hindern, Sicherheitsstandards zu aktivieren. Sie können den bedingten Zugriff verwenden, um benutzerdefinierte Richtlinien zu konfigurieren, die dasselbe Verhalten aktivieren, das von Sicherheitsstandards bereitgestellt wird.

      Bedingten Zugriff verwalten führt Sie zur Seite Richtlinien unter https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView , um Richtlinien für bedingten Zugriff zu verwalten. Informationen zum Wechseln zwischen Sicherheitsstandards und Richtlinien für bedingten Zugriff finden Sie im Abschnitt Wiederherstellen von Sicherheitsstandards aus Richtlinien für bedingten Zugriff in diesem Artikel.

    • Sicherheitsstandards sind deaktiviert: Der folgende Text wird angezeigt, und Sicherheitsstandardeinstellungen verwalten ist verfügbar:

      Ihre organization ist nicht durch Sicherheitsstandards geschützt.

  3. Wenn Sicherheitsstandardeinstellungen verwalten verfügbar ist, wählen Sie die Option aus, um Die Sicherheitsstandards zu aktivieren oder zu deaktivieren:

    Führen Sie im daraufhin geöffneten Flyout Sicherheitsstandards einen der folgenden Schritte aus:

    • Sicherheitsstandards aktivieren: Wählen Sie in der Dropdownliste Sicherheitsstandardsdie Option Aktiviert und dann Speichern aus.

    • Sicherheitsstandards deaktivieren: Wählen Sie in der Dropdownliste Sicherheitsstandardsdie Option Deaktiviert aus. Wählen Sie im Abschnitt Grund für die Deaktivierungdie Option Mein organization plant die Verwendung des bedingten Zugriffs.

      Wenn Sie mit dem Flyout Sicherheitsstandards fertig sind, wählen Sie Speichern aus.

    Wichtig

    Es wird nicht empfohlen, die Sicherheitsstandards zu deaktivieren, es sei denn, Sie wechseln zu Richtlinien für bedingten Zugriff in Microsoft Entra ID P1 oder P2.

Verwalten von Richtlinien für bedingten Zugriff

Wenn Ihr Microsoft 365-organization Microsoft Entra ID P1 oder höher enthält, können Sie den bedingten Zugriff anstelle von Sicherheitsstandards verwenden, um einen höheren Sicherheitsstatus und eine präzisere Steuerung zu gewährleisten. Zum Beispiel:

  • Microsoft 365 Business Premium (Microsoft Entra ID P1)
  • Microsoft 365 E3 (Microsoft Entra ID P1)
  • Microsoft 365 E5 (Microsoft Entra ID P2)
  • Ein Add-On-Abonnement

Weitere Informationen finden Sie unter Planen einer Bereitstellung für bedingten Zugriff.

Der Wechsel von Sicherheitsstandards zu Richtlinien für bedingten Zugriff erfordert die folgenden grundlegenden Schritte:

  1. Deaktivieren Sie Die Sicherheitsstandards.
  2. Erstellen Sie grundlegende Richtlinien für bedingten Zugriff, um die Sicherheitsrichtlinien in Den Sicherheitsstandards neu zu erstellen.
  3. Passen Sie MFA-Ausschlüsse an.
  4. Erstellen Sie neue Richtlinien für bedingten Zugriff.

Tipp

Wenn Sicherheitsstandards aktiviert sind, können Sie neue Richtlinien für bedingten Zugriff erstellen, aber nicht aktivieren. Nachdem Sie sicherheitsstandards deaktiviert haben, können Sie Richtlinien für bedingten Zugriff aktivieren.

Schritt 1: Deaktivieren der Sicherheitsstandards

Sicherheitsstandards und Richtlinien für bedingten Zugriff können nicht gleichzeitig aktiviert werden. Daher müssen Sie zunächst die Sicherheitsstandards deaktivieren.

Anweisungen finden Sie im vorherigen Abschnitt Verwalten von Sicherheitsstandards in diesem Artikel.

Schritt 2: Erstellen von Baselinerichtlinien für bedingten Zugriff, um die Richtlinien in Den Sicherheitsstandards neu zu erstellen

Die Richtlinien in Den Sicherheitsstandards sind die von Microsoft empfohlene Baseline für alle Organisationen. Daher ist es wichtig, diese Richtlinien im bedingten Zugriff neu zu erstellen, bevor Sie andere Richtlinien für bedingten Zugriff erstellen.

Die folgenden Vorlagen für bedingten Zugriff erstellen die Richtlinien in den Sicherheitsstandards neu:

*Sie können Ihren Sicherheitsstatus verbessern, indem Sie stattdessen Phishing-resistente MFA für Administratoren anfordern verwenden.

Führen Sie die folgenden Schritte aus, um Richtlinien für bedingten Zugriff mithilfe dieser Vorlagen zu erstellen:

  1. Wechseln Sie im Microsoft Entra Admin Center zu bedingtem Zugriff | Seite "Richtlinien" unter https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies.

  2. Auf dem bedingten Zugriff | Wählen Sie auf der Seite Richtlinien die Option Neue Richtlinie aus Vorlage aus.

  3. Überprüfen Sie auf der Seite Neue Richtlinie aus Vorlage , ob die Registerkarte Vorlage auswählen ausgewählt ist. Überprüfen Sie auf der Registerkarte Vorlage auswählen , ob die Registerkarte Sicheres Fundament ausgewählt ist.

  4. Wählen Sie auf der Registerkarte Sicheres Fundament eine der erforderlichen Vorlagen aus (z . B. Mehrstufige Authentifizierung für alle Benutzer erforderlich), und wählen Sie dann Überprüfen + erstellen aus.

    Tipp

    Um die Vorlage Phishing-resistente mehrstufige Authentifizierung für Administratoren erforderlich zu finden und auszuwählen, verwenden Sie das Feld Suchen .

  5. Zeigen Sie auf der Registerkarte Überprüfen + erstellen die folgenden Einstellungen an, oder konfigurieren Sie sie:

    • Abschnitt "Grundlagen":
      • Richtlinienname: Übernehmen Sie den Standardnamen, oder passen Sie ihn an.
      • Richtlinienstatus: Wählen Sie Ein aus.
    • Abschnitt Zuweisungen: Beachten Sie im Abschnitt Benutzer und Gruppen, dass der Wert Ausgeschlossene BenutzerAktueller Benutzer ist, und Sie können ihn nicht ändern. Nur Konten für den Notfallzugriff sollten von den MFA-Anforderungen ausgeschlossen werden. Weitere Informationen finden Sie im nächsten Schritt.

    Wenn Sie auf der Registerkarte Überprüfen + erstellen fertig sind, wählen Sie Erstellen aus.

    Die von Ihnen erstellte Richtlinie wird unter Bedingter Zugriff | Seite "Richtlinien" .

  6. Wiederholen Sie die vorherigen Schritte für die verbleibenden Vorlagen.

Schritt 3: Anpassen von MFA-Ausschlüssen

Standardmäßig enthalten die Richtlinien für bedingten Zugriff, die Sie im vorherigen Schritt erstellt haben, Ausschlüsse für das Konto, unter dem Sie angemeldet waren, und Sie können Ausschlüsse während der Richtlinienerstellung nicht ändern.

Wir empfehlen mindestens zwei Administratorkonten für den Notfallzugriff in jedem organization, die nicht bestimmten Personen zugewiesen sind und nur in Notfällen verwendet werden. Diese Konten müssen von den MFA-Anforderungen ausgeschlossen werden.

Möglicherweise müssen Sie die aktuellen Kontoausschlüsse entfernen und/oder den folgenden Richtlinien Kontoausschlüsse für den Notfallzugriff hinzufügen:

Bevor Sie benutzerdefinierte Richtlinien für bedingten Zugriff erstellen, erstellen Sie Ihre Konten für den Notfallzugriff, und führen Sie dann die folgenden Schritte aus, um die Ausschlüsse für MFA-bezogene Richtlinien anzupassen:

  1. Auf dem bedingten Zugriff | Wählen Sie auf https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesder Seite Richtlinien eine der MFA-bezogenen Richtlinien aus, die Sie im vorherigen Schritt erstellt haben (z. B . Mehrstufige Authentifizierung für die Azure-Verwaltung erforderlich).

  2. Wählen Sie auf der seite mit den Richtliniendetails, die geöffnet wird, im Abschnitt Zuweisungsbenutzerdie Option Alle eingeschlossenen und bestimmten ausgeschlossenen> Benutzer aus.

  3. Wählen Sie in den angezeigten Informationen die Registerkarte Ausschließen aus.

  4. Auf der Registerkarte Ausschließen werden die folgenden Einstellungen konfiguriert:

    • Wählen Sie die Benutzer und Gruppen aus, die von der Richtlinie ausgenommen werden sollen: Der Wert Benutzer und Gruppen ist ausgewählt.
    • Ausgeschlossene Benutzer und Gruppen auswählen: Der Wert 1 Benutzer wird angezeigt, und das Benutzerkonto, das zum Erstellen der Richtlinie verwendet wurde, wird angezeigt.
      • Um das aktuelle Konto aus der Liste ausgeschlossener Benutzer zu entfernen, wählen Sie Entfernen aus>.

        Der Wert ändert sich in 0 ausgewählte Benutzer und Gruppen , und der Warntext Mindestens einen Benutzer oder eine Gruppe auswählen wird angezeigt.

      • Um der Liste der ausgeschlossenen Benutzer Konten für den Notfallzugriff hinzuzufügen, wählen Sie 0 Benutzer und Gruppen aus. Suchen Sie im flyout Ausgeschlossene Benutzer und Gruppen auswählen , das geöffnet wird, nach den Konten für den Notfallzugriff, die ausgeschlossen werden sollen, und wählen Sie sie aus. Die ausgewählten Benutzer werden im Bereich Ausgewählt angezeigt. Wenn Sie fertig sind, wählen Sie Auswählen aus.

        Klicken Sie auf der Seite mit den Richtliniendetails auf Speichern.

  5. Wiederholen Sie die vorherigen Schritte für die verbleibenden MFA-bezogenen Richtlinien.

Tipp

Die Legacyauthentifizierungsrichtlinie blockieren erfordert wahrscheinlich keine Ausschlüsse, sodass Sie die vorherigen Schritte ausführen können, um den vorhandenen Ausschluss zu entfernen. Deaktivieren Sie einfach Benutzer und Gruppen in Schritt 4.

Weitere Informationen zu Benutzerausschlüssen in Richtlinien für bedingten Zugriff finden Sie unter Benutzerausschlüsse.

Schritt 4: Erstellen von Mew-Richtlinien für bedingten Zugriff

Jetzt können Sie Richtlinien für bedingten Zugriff erstellen, die Ihren geschäftlichen Anforderungen entsprechen. Weitere Informationen finden Sie unter Planen einer Bereitstellung für bedingten Zugriff.

Wiederherstellen von Sicherheitsstandards aus Richtlinien für bedingten Zugriff

Sicherheitsstandards sind deaktiviert, wenn Sie Richtlinien für bedingten Zugriff verwenden. Wenn mindestens eine Richtlinie für bedingten Zugriff in einem beliebigen Zustand (Aus, Ein oder Nur Bericht) vorhanden ist, können Sie die Sicherheitsstandards nicht aktivieren. Sie müssen alle vorhandenen Richtlinien für bedingten Zugriff löschen, bevor Sie Sicherheitsstandards aktivieren können.

Achtung

Bevor Sie Richtlinien für bedingten Zugriff löschen, achten Sie darauf, ihre Einstellungen aufzuzeichnen.

Führen Sie die folgenden Schritte aus, um Richtlinien für bedingten Zugriff zu löschen:

  1. Auf dem bedingten Zugriff | Wählen Sie auf der https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/PoliciesSeite Richtlinien die Richtlinie aus, die Sie löschen möchten.
  2. Wählen Sie auf der daraufhin geöffneten Detailseite oben auf der Seite Löschen aus.
  3. Wählen Sie im daraufhin geöffneten Dialogfeld Sind Sie sicher? die Option Ja aus.

Nachdem Sie alle Richtlinien für bedingten Zugriff gelöscht haben, können Sie die Sicherheitsstandards aktivieren, wie unter Verwalten von Sicherheitsstandards beschrieben.

Verwalten von Legacy-MFA pro Benutzer

Es wird dringend empfohlen, Sicherheitsstandards oder bedingten Zugriff für MFA in Microsoft 365 zu verwenden. Wenn dies nicht möglich ist, ist Ihre letzte Option MFA für einzelne Microsoft Entra ID-Konten über Microsoft Entra ID Free.

Anweisungen finden Sie unter Aktivieren der mehrstufigen Authentifizierung pro Benutzer Microsoft Entra zum Schützen von Anmeldeereignissen.

Nächste Schritte

Einrichten der mehrstufigen Authentifizierung (Video)

Aktivieren der mehrstufigen Authentifizierung für Ihr Smartphone (Artikel)

Mehrstufige Authentifizierung für Microsoft 365 (Artikel)